Upravit

Sdílet prostřednictvím


Podnikové monitorování s využitím služby Azure Monitor

Azure Arc
Azure Automation
Azure Logic Apps
Azure Monitor
Microsoft Sentinel

Velké podniky musí při modernizaci stávajícího řešení monitorování zvážit mnoho faktorů. Podniky můžou dosáhnout centralizované správy monitorování pomocí funkcí služby Azure Monitor. Tento ukázkový scénář znázorňuje monitorování na podnikové úrovni, které používá Azure Monitor.

Architektura

Diagram architektury znázorňující podnikové pracovní prostory a možnosti monitorování

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

  • Tato architektura se řídí modelem protokolu kontextu prostředků. Každý záznam protokolu, který prostředek Azure automaticky přidruží k prostředku. Tento model pomáhá oddělit pracovní prostory, které shromažďují a ingestují od různých vlastníků aplikací.

  • Různé úlohy v rámci podniku mají samostatné pracovní prostory. Konfigurace různých pracovních prostorů dává týmům autonomii nad vlastními daty a poskytuje samostatný přehled nákladů na pracovní prostor.

    • Služby PaaS (Platforma jako služba), jako jsou Azure Web Apps a Azure Functions Apps, přidávají konfiguraci pro Application Insights v rámci svých pracovních prostorů.

    • Pro identitu mají místní Active Directory a poskytovatelé cloudových identit vlastní pracovní prostory.

    • Azure Virtual Desktop, Azure Pipelines, úlohy SQL, aplikace ve službě Azure Kubernetes Service (AKS) a Azure Web Apps a ostatní služby PaaS mají své vlastní pracovní prostory.

  • Každý pracovní prostor má vlastní sadu nakonfigurovaných výstrah. Azure Logic Apps a Azure Automation poskytují pokročilé upozorňování a nápravu. Logic Apps poskytuje integraci s nástroji IT Service Management (ITSM).

  • Sada místních virtuálních počítačů se připojuje přes Azure Arc a poskytuje kompletní rovinu správy Azure. Azure Arc můžete také použít k připojení prostředků infrastruktury jako služby (IaaS), které běží v cloudu třetí strany.

  • Vlastní protokolování zaznamenává informace o virtualizovaných prostředích třetích stran a shromažďuje vlastní operační systém, software a aplikační protokoly.

  • Log Analytics Workspace Insights poskytuje komplexní monitorování pracovních prostorů. Použití jednoho pracovního prostoru k ukládání shromážděných dat ze všech prostředků je v souladu s provozním modelem IT organizace. Tento pracovní prostor poskytuje centrálnímu týmu přehled využití, nákladů a výkonu pro všechny pracovní prostory. Centrální pracovní prostor respektuje rozsah a řízení přístupu na základě role (RBAC) na základě prostředků. Log Analytics Workspace Insights má svou vlastní samostatnou sadu upozornění.

  • Log Analytics poskytuje další integraci exportem dat pracovního prostoru pro archivaci nebo analýzu. Archivace dat do studené úrovně úložiště šetří náklady. Archivovaná data můžete použít k další analýze vytvořením datových sad, které se budou pouštět do modelů strojového učení.

  • Monitoruje připojení k nástrojům pro správu událostí a informací o zabezpečení (SIEM), jako je Microsoft Sentinel, a vytváří tak větší úložiště dat zabezpečení podniku.

  • Power BI a Azure Workbooks (pro Azure Monitor) poskytují možnosti vizualizace dat a řídicího panelu.

Komponenty

Tato architektura zahrnuje následující komponenty:

Monitorování komponent

Azure Monitor shromažďuje, analyzuje a chová telemetrická data z cloudových a místních prostředí. Toto řešení používá následující součásti a funkce monitorování:

  • Metriky monitorování shromažďují číselná data z monitorovaných prostředků do databáze časových řad. Metriky ve službě Monitor jsou jednoduché a podporují scénáře téměř v reálném čase, takže jsou užitečné pro upozorňování a rychlé zjišťování problémů.
  • Monitorování protokolů shromažďuje a uspořádá protokoly a údaje o výkonu z monitorovaných prostředků. Data z více zdrojů, včetně protokolů platformy Azure, můžete konsolidovat do jednoho pracovního prostoru. Data můžete analyzovat pomocí sofistikovaného dotazovacího jazyka v Log Analytics.
  • Agent Azure Monitoru může odesílat data do protokolů monitorování i do metrik monitorování. Agent Azure Monitoru používá konfigurovatelná pravidla shromažďování dat (DCR) a nevyžaduje připojení klíčů pracovního prostoru.
  • Application Insights monitoruje živé aplikace na široké škále platforem napříč cloudovými, hybridními a místními prostředími. Application Insights automaticky detekuje anomálie výkonu. Application Insights obsahuje výkonné analytické nástroje, které vám pomůžou pochopit využití a diagnostikovat problémy.
  • Přehledy služby Azure Virtual Desktop používají monitor pro Azure Virtual Desktop, aby odborníkům v oblasti IT pomohly porozumět prostředí azure Virtual Desktopu.
  • Container Insights monitoruje výkon a stav clusterů Kubernetes a dalších úloh založených na kontejnerech.
  • Přehledy sítě poskytují komplexní přehled o stavu a metrikách pro všechny nasazené síťové prostředky.
  • SQL Insights (Preview) monitoruje stav a pomáhá diagnostikovat problémy a ladit výkon pro jakýkoli produkt v rodině Azure SQL.
  • Přehledy virtuálních počítačů monitorují výkon a stav virtuálních počítačů a škálovacích sad virtuálních počítačů. Přehledy virtuálních počítačů zahrnují spuštěné procesy a závislosti na jiných prostředcích.
  • IT Service Management Connector (ITSMC) poskytuje obousměrné propojení mezi Azure a podporovanými nástroji ITSM, které vám pomůžou rychleji vyřešit pracovní položky.
  • Azure Workbooks pro Azure Monitor nabízí flexibilní plátno pro analýzu více zdrojů dat Azure a jejich kombinování do interaktivních vizuálních sestav.
  • Log Analytics vytváří a spouští dotazy na monitorování dat protokolů v pracovních prostorech služby Log Analytics. Toto řešení používá následující funkce Log Analytics:
    • Agent Log Analytics shromažďuje data monitorování z cloudových a místních operačních systémů a úloh virtuálních počítačů a odesílá je do pracovního prostoru služby Log Analytics.
    • Monitorování Microsoft Entra směruje protokoly aktivit Microsoft Entra do pracovního prostoru služby Log Analytics.
    • Brána Log Analytics odesílá data do pracovních prostorů Azure Automation a Log Analytics pro počítače, které se nemůžou přímo připojit k internetu.
    • Service Map používá agenta Log Analytics k automatickému zjišťování komponent aplikací v systémech Windows a Linux a namapování komunikace mezi službami.
    • Správa výstrah pomáhá analyzovat všechna upozornění v pracovních prostorech služby Log Analytics.
    • Export dat Log Analytics (Preview) průběžně exportuje data z vybraných tabulek v pracovním prostoru služby Log Analytics. Data můžou exportovat do účtu úložiště Azure nebo do služby Azure Event Hubs.
    • Log Analytics Workspace Insights poskytuje komplexní monitorování všech pracovních prostorů služby Log Analytics. Přehledy pracovních prostorů poskytují jednotné zobrazení využití, výkonu, stavu, agenta, dotazů a protokolů změn pracovního prostoru.

Další komponenty

V tomto řešení monitor podporuje nebo integruje následující Azure a služby Microsoft:

  • Azure Arc zjednodušuje zásady správného řízení a správu tím, že poskytuje konzistentní multicloudovou a místní platformu pro správu.
  • Azure Automation poskytuje cloudové automatizace, aktualizace operačního systému a konfiguraci pro podporu konzistentní správy napříč prostředími. Change Tracking sleduje změny v cloudu a místních virtuálních počítačích, které vám pomůžou identifikovat problémy se softwarem. Change Tracking předává data do monitorování protokolů a ukládá je do pracovního prostoru služby Log Analytics.
  • Azure ExpressRoute rozšiřuje místní sítě do cloudu Microsoftu. ExpressRoute používá privátní připojení s pomocí poskytovatelů připojení.
  • Azure Data Lake Storage poskytuje zabezpečené, škálovatelné a nákladově efektivní cloudové úložiště pro analýzy velkých objemů dat.
  • Azure Functions je bezserverové řešení, které implementuje snadno dostupné bloky kódu označované jako funkce. Funkce běží na vyžádání a automaticky vertikálně navyšují kapacitu.
  • Azure Kubernetes Services (AKS) je plně spravovaná služba Kubernetes, která umožňuje snadno nasazovat a spravovat kontejnerizované aplikace.
  • Azure Load Balancer rovnoměrně distribuuje příchozí síťový provoz mezi back-endové prostředky nebo servery.
  • Azure Logic Apps je cloudová platforma pro vytváření a spouštění automatizovaných pracovních postupů. Aplikace logiky můžou integrovat aplikace, data, služby a systémy.
  • Azure Resource Manager poskytuje vrstvu správy a šablony pro vytváření, aktualizaci a odstraňování prostředků ve vašem účtu Azure.
  • Microsoft Defender for Cloud je součástí programu Microsoft Defender for Cloud, sjednoceného systému správy zabezpečení infrastruktury.
  • Microsoft Sentinel je řešení automatizované reakce (SOAR) nativní pro cloud, škálovatelné, informace o zabezpečení a správu událostí (SIEM) a orchestrace zabezpečení.
  • Řada databázových služeb SQL Azure SQL poskytuje konzistentní jednotné prostředí Azure SQL. Azure SQL nabízí celou řadu možností nasazení, od hraničních zařízení po cloud.
  • Power BI je kolekce softwarových služeb, aplikací a konektorů, které mění zdroje dat na koherentní, vizuálně imerzivní a interaktivní přehledy.

Alternativy

Některé alternativy monitorování můžete použít společně s monitorováním nebo místo nástroje Monitor.

System Center Operations Manager

System Center Operations Manager nabízí flexibilní nákladově efektivní monitorování infrastruktury. Operations Manager poskytuje komplexní monitorování pro privátní a veřejná datacentra a cloudy. Operations Manager pomáhá zajistit předvídatelný výkon a dostupnost důležitých aplikací.

Pokud chcete zachovat stávající investice operations manageru, můžete Operations Manager integrovat s pracovními prostory služby Log Analytics. K těmto funkcím můžete použít protokoly monitorování a rozšířené možnosti, zatímco operations Manager stále používáte:

  • Monitorování stavu it služeb
  • Udržování integrace s řešeními ITSM pro incidenty a správu problémů
  • Správa životního cyklu agentů nasazených do místních a veřejných cloudových virtuálních počítačů IaaS

Další informace najdete v tématu Připojení Operations Manageru ke službě Azure Monitor.

Grafana

Grafana je otevřená a sestavitelná platforma pro pozorovatelnost a vizualizaci dat. Grafana vám pomůže dotazovat se, vizualizovat, upozorňovat na data a porozumět datům, ať jsou uložená kdekoli. Můžete vytvářet flexibilní řídicí panely pro zkoumání a sdílení dat.

Podrobnosti scénáře

Podnikové týmy mají různé úlohy, jako jsou Windows, Linux, SQL, úlohy založené na identitách, infrastruktura virtuálních klientských počítačů (VDI), kontejnery a webové aplikace. Tyto úlohy můžou být spuštěné v libovolném poskytovateli cloudu, v místním prostředí nebo v kombinaci. Díky takové obrovské škále úloh v různých prostředích je cloudové monitorování složité.

Monitorování na podnikové úrovni musí také zahrnovat zásady správného řízení, provozní osvědčené postupy, efektivní správu nákladů a zabezpečení pracovních prostorů. Monitorování musí poskytovat dostatečnou flexibilitu pro nastavení a správu týmových prostředí a nechat týmy spravovat sami sebe s určitým stupněm kontroly.

Mezi další důležité faktory návrhu monitorování patří:

  • Jak rozšířit pracovní prostory Služby Log Analytics do různých geografických oblastí nebo týmů
  • Monitorování samotných pracovních prostorů a jejich úloh
  • Jak účtovat zpět různé týmy za účelem optimalizace celkových nákladů.
  • Jak vizualizovat a případně archivovat shromážděná data.
  • Vytváření samostatných řídicích panelů pro operace, aplikace a různé týmy
  • Zajištění dostatečného přehledu o správné sadě informací.

Potenciální případy použití

Toto řešení vám může pomoct s následujícími případy použití:

  • Konsolidované monitorování pro různé cloudové a místní úlohy
  • Monitorování úloh kontejnerů, Azure SQL a Azure Virtual Desktopu
  • Rozšířený rozsah monitorování, například připojení monitoru k Microsoft Sentinelu
  • Hybridní a heterogenní monitorování cloudu napříč sítěmi, poskytovateli identit, operačními systémy a dalšími doménami.

Důležité informace

Pro toto řešení platí následující aspekty.

Dostupnost

Zóny dostupnosti Azure chrání aplikace a data před selháním datacentra tím, že se spoléhají na dostupnost jiných zón v dané oblasti. Zóny dostupnosti pomáhají zajistit odolnost funkcí monitorování, jako je Application Insights, které využívají pracovní prostor služby Log Analytics. Pracovní prostory propojené se zónami dostupnosti zůstávají aktivní a funkční i v případě, že konkrétní datacentrum není dostupné.

Viz Oblasti a Zóny dostupnosti v Azure pro oblasti Azure, které podporují zóny dostupnosti. Monitorování aktuálně podporuje zóny dostupnosti v oblastech USA – východ 2 a USA – západ 2.

Podpora monitorování zón dostupnosti vyžaduje pracovní prostor služby Log Analytics propojený s vyhrazeným clusterem Protokolů monitorování. Vyhrazené clustery jsou možnost nasazení, která umožňuje pokročilé možnosti pro protokoly monitorování, včetně zón dostupnosti. Vyhrazené clustery vytvořené po říjnu 2020 můžou ve výchozím nastavení používat zóny dostupnosti, ve kterých je Monitor podporuje.

Pracovní postupy zotavení po havárii (BCDR) pro Logic Apps

Pracovní postupy Logic Apps pomáhají integrovat a orchestrovat data mezi aplikacemi, cloudovými službami a místními systémy. Při plánování zotavení po havárii provozní kontinuity (BCDR) nezapomeňte zvážit nejen aplikace logiky, ale prostředky Azure, se kterými pracují. Pokyny a strategie BCDR pro pracovní postupy automatizovaných aplikací logiky najdete v tématu Provozní kontinuita a zotavení po havárii pro Azure Logic Apps.

Operace

  • Nezapomeňte mít strategii pro zpracování osobních údajů. Další informace najdete v doprovodných materiálech k osobním datům uloženým v Log Analytics a Application Insights.

  • Zajištění dodržování právních předpisů s využitím následujících pokynů:

  • Runbooky Azure Automation, které běží v Azure, nemusí mít přístup k prostředkům v jiných cloudech nebo v místním prostředí. Hybrid Runbook Worker služby Azure Automation můžete použít ke spouštění runbooků přímo na počítači, který je hostitelem role. Runbook můžete spustit proti prostředkům v prostředí, abyste mohli spravovat místní prostředky. Další informace najdete v tématu Přehled funkce Hybrid Runbook Worker služby Automation.

  • Zvažte následující provozní osvědčené postupy, které vám pomůžou udržet náklady v kontrole:

    • Povolte výstrahy pouze v době, kdy je shromažďování dat vysoké.
    • Než je implementujete, projděte si řešení monitorování monitorování. Pokud například povolíte Defender for Cloud, aby mohl shromažďovat a auditovat data událostí zabezpečení, může exponenciálně zvýšit náklady na shromažďování dat.
    • Racionalizujte vytváření upozornění na panelu. Místo každého pracovního prostoru nebo týmu, který má stejné upozornění, zvažte vytvoření jediné výstrahy.
    • Seskupte prostředky, jako jsou upozornění, Logic Apps a pracovní prostory v samostatných skupinách prostředků, a k identifikaci použijte označování.
    • Přehledy pracovních prostorů služby Log Analytics můžete použít k celkovému zobrazení nákladů napříč různými pracovními prostory.
    • Pomocí agenta Azure Monitoru můžete provádět podrobné shromažďování dat na úrovni shromažďování ID jednotlivých událostí z protokolů událostí systému. Vyladění shromažďování dat může poskytovat efektivitu nákladů.
    • Použití funkce Monitorování exportu dat pro archivaci dat do nízkonákladového úložiště
    • Dodržujte osvědčené postupy pro telemetrická data v pracovních prostorech Application Insights. Další informace najdete v tématu Správa využití a nákladů pro Application Insights.

Efektivita výkonu

Pro toto řešení platí následující aspekty výkonu:

Latence

Latence je doba mezi vytvořením dat v monitorovaném systému a její dostupností pro analýzu ve službě Monitor. Typická latence ingestování dat protokolu je mezi 20 sekund a třemi minuty. Konkrétní latence pro všechna data závisí na různých faktorech.

Celková doba příjmu dat pro konkrétní sadu dat má následující části:

  • Čas agenta: Čas zjištění události, jeho shromáždění a odeslání do bodu příjmu protokolů monitorování jako záznam protokolu. Ve většině případů agent zpracovává tento proces. Síť může zavádět další latenci.
  • Čas kanálu: Čas, kdy kanál příjmu dat zpracuje záznam protokolu. Tentokrát zahrnuje analýzu vlastností události a případně přidání počítaných informací.
  • Doba indexování: Doba strávená ingestováním záznamu protokolu do úložiště monitorování velkých objemů dat.

Pokud chcete zajistit minimální latenci, umístěte pracovní prostory Monitorování, Logic Apps a související infrastrukturu ve stejné oblasti Azure s úlohami, které monitorují nebo řídí. Stále ale může dojít k problémům s latencí. Další informace najdete v tématu Čas příjmu dat protokolu ve službě Azure Monitor.

Protokolování a upozornění na metriky

Upozornění metrik kontrolují v pravidelných intervalech, jestli jsou splněné podmínky v jedné nebo více časových řadách metrik, a upozorňují vás, když podmínky splňují vyhodnocení. Upozornění na metriky jsou ve výchozím nastavení stavová a odesílají oznámení jenom v případě, že se stav změní, například když se aktivuje nebo vyřeší.

Upozornění protokolu používají dotaz Log Analytics k vyhodnocení protokolů prostředků s nastavenou frekvencí a aktivují upozornění na základě výsledků. Upozornění založená na metrikách můžou být rychlejší a odesílat oznámení než upozornění protokolu.

Škálovatelnost

Zabezpečení

Toto řešení používá následující mechanismy zabezpečení:

Řízení přístupu

Azure RBAC uzamkne skupiny prostředků, které hostují výstrahy a Logic Apps pro jednotlivé týmy nebo vlastníky aplikace. Pomocí Azure RBAC můžete uživatelům a skupinám udělit jenom množství přístupu, které potřebují k práci s daty monitorování v pracovním prostoru. Můžete například udělit přístup týmu, který je zodpovědný za služby infrastruktury hostované virtuálními počítači Azure, jenom protokolům, které tyto virtuální počítače generují.

Data, ke které má uživatel přístup, jsou určena kombinací faktorů.

Faktor Popis
Režim přístupu Metoda, která uživatel používá pro přístup k pracovnímu prostoru. Definuje rozsah dostupných dat a použitý režim řízení přístupu.
Režim řízení přístupu Nastavení pracovního prostoru, které definuje, jestli se oprávnění vztahují na úrovni pracovního prostoru nebo prostředku.
Oprávnění Oprávnění použitá pro jednotlivce nebo skupiny pro pracovní prostor nebo prostředek Definuje, k jakým datům má uživatel přístup.
Azure RBAC na úrovni tabulky Volitelná podrobná oprávnění, která platí pro všechny uživatele bez ohledu na jejich režim přístupu nebo režim řízení přístupu. Definuje datové typy, ke kterým má uživatel přístup.

Další informace najdete v tématu Přehled řízení přístupu.

Připojení privátního koncového bodu přes ExpressRoute

Monitorování je souhvězdí různých vzájemně propojených služeb, které spolupracují na monitorování úloh. Pomocí služby Azure Private Link můžete bezpečně propojit prostředky Azure PaaS s virtuální sítí s privátními koncovými body. Rozsah služby Azure Monitor Private Link poskytuje privátní připojení mezi aplikacemi nasazenými ve virtuálních sítích a monitorováním prostředků, které definují hranice vaší monitorovací sítě. Další informace viz Propojení sítí s Azure Monitorem pomocí služby Azure Private Link.

Prostředí integrační služby Logic Apps (ISE)

Prostředí integrační služby (ISE) uchovává vyhrazené úložiště a další prostředky odděleně od globální služby Logic Apps pro více zákazníků. Další informace najdete v tématu Připojení k virtuálním sítím Azure z Azure Logic Apps pomocí prostředí integrační služby (ISE).

Brána Log Analytics

Brána Log Analytics odesílá data do Služby Azure Automation a do pracovního prostoru Monitorování služby Log Analytics pro počítače, které se nemůžou přímo připojit k internetu. Další informace najdete v tématu Připojení počítačů bez přístupu k internetu pomocí brány Log Analytics ve službě Azure Monitor.

Optimalizace nákladů

  • Azure Monitor obsahuje funkce pro shromažďování a analýzu dat protokolů. Monitorujte faktury podle příjmu, uchovávání a exportu dat. Mezi další faktory, které můžou mít vliv na ceny, patří upozornění, oznámení a SMS nebo hlasové hovory. Další informace najdete v tématu o cenách služby Azure Monitor.

  • Výchozí ceny pro Application Insights a Log Analytics jsou model průběžných plateb založený na ingestované objemu dat a volitelně i delším uchovávání dat. Log Analytics má také úrovně závazku, které vám můžou ušetřit až 30 procent oproti ceně průběžných plateb.

  • Projděte si ceny služby Logic Apps a ceny služby Azure Automation.

  • Podrobnější informace o cenách najdete v cenové kalkulačce Azure.

Kontrolní seznam pro důležité informace

  • Povolte řešení Monitorování postupně, abyste minimalizovali dopad na prostředí a náklady.
  • Projděte si omezení služeb Azure u všech komponent architektury.
  • Nastavte upozornění na limity nákladů. Přidání nových řešení může zvýšit shromažďovaná data vícenásobně, a tím zvýšit náklady.
  • Pomocí značek ve všech skupinách prostředků a prostředcích můžete v případě potřeby přejít k podrobnostem o nákladech.
  • Automatizace nasazení pracovního prostoru prostřednictvím infrastruktury jako kódu (IaC) pro zajištění konzistence
  • Vytvořte pracovní prostory ve stejné oblasti jako spuštěné úlohy, abyste zajistili nižší latenci příjmu dat.
  • Pro místní počítače bez připojení k internetu použijte Azure Arc přes bránu Log Analytics.
  • Pro místní počítače s připojením k internetu, které jsou nakonfigurované pro Azure Arc, seskupte virtuální počítače v samostatných prostředcích na jeden projekt a použijte řadiče domény.
  • Rozprostřete výstrahy mezi skupiny prostředků, abyste se vyhnuli dosažení limitů předplatného 800 nasazení na skupinu prostředků.
  • Racionalizujte výstrahy tak, aby používaly jedno upozornění napříč různými týmy.
  • Zkontrolujte požadavky na zabezpečení sítě, uživatelů a celkových cloudových služeb.
  • Vytvořte pro každý pracovní prostor samostatnou skupinu prostředků, která vám pomůže efektivně použít pravidla RBAC.
  • Použití RBAC pro uživatelské účty a další objekty pro přístup k pracovnímu prostoru služby Log Analytics
  • Použijte Microsoft Sentinel k ingestování identit a protokolů souvisejících se zabezpečením.
  • Monitorujte živé aplikace pomocí Application Insights a automaticky detekujte anomálie výkonu.
  • Pomocí analytických nástrojů Application Insights můžete diagnostikovat problémy a porozumět využití aplikací.
  • Pomocí přehledů pracovního prostoru služby Log Analytics na panelu můžete monitorovat a nastavovat upozornění pro následující míry:
    • Latence příjmu dat
    • Objem příjmu dat
    • Anomálie příjmu dat
    • Stav agenta
  • Pomocí agenta Azure Monitoru můžete doladit shromažďování dat.
  • Zvažte archivaci dat na studenou úroveň úložiště. Studené úložiště dat můžete integrovat se službami Data Lake.

Další kroky